今日頭條
官方微信
官方抖音
資訊頻道
1 工業(yè)控制系統(tǒng)信息安全趨勢(shì)
隨著工業(yè)控制系統(tǒng)的通用化、網(wǎng)絡(luò)化、智能化發(fā)展,工業(yè)控制系統(tǒng)信息安全形勢(shì)日漸嚴(yán)峻。一方面,傳統(tǒng)的互聯(lián)網(wǎng)信息安全威脅正在向工業(yè)控制系統(tǒng)蔓延,另一方面,針對(duì)關(guān)鍵基礎(chǔ)設(shè)施及其控制系統(tǒng),以竊取敏感信息和破壞關(guān)鍵基礎(chǔ)設(shè)施運(yùn)行為主要目的的攻擊愈演愈烈。主要原因是工業(yè)控制系統(tǒng)建設(shè)時(shí)更多的是考慮各自系統(tǒng)的可用性,并沒有充分考慮系統(tǒng)之間互聯(lián)互通的信息安全風(fēng)險(xiǎn)和防護(hù)建設(shè),使得國際國內(nèi)針對(duì)工業(yè)控制系統(tǒng)的攻擊事件層出不窮。“震網(wǎng)”病毒事件為全球工業(yè)控制系統(tǒng)安全問題敲響了警鐘,促使國家和社會(huì)逐漸重視工業(yè)控制系統(tǒng)的信息安全問題。
2010年以前,全球工業(yè)安全事件發(fā)生頻率還較少,但這個(gè)數(shù)據(jù)在2010年以后急劇上升。據(jù)權(quán)威工業(yè)安全事件信息庫RISI統(tǒng)計(jì),截止到2013年10 月,全球已發(fā)生300余起針對(duì)工業(yè)控制系統(tǒng)的攻擊事件,而且,這個(gè)數(shù)據(jù)還在不斷刷新。這說明黑客針對(duì)工業(yè)控制系統(tǒng)的關(guān)注度在不斷提升,嚴(yán)重威脅著生產(chǎn)安全。
全球各地不斷發(fā)生的工控信息安全事件給我們3個(gè)啟示:一是黑客技術(shù)高超,制造的病毒不易被發(fā)現(xiàn);二是針對(duì)工控系統(tǒng)的攻擊不是個(gè)人所為,而是團(tuán)伙作案;三是針對(duì)工控系統(tǒng)的攻擊除了個(gè)人獲利因素外,更重要的是帶有敵對(duì)思想和很強(qiáng)的政治色彩。
因此,如果對(duì)工控系統(tǒng)沒有嚴(yán)格的管控措施,在敵對(duì)勢(shì)力發(fā)動(dòng)網(wǎng)絡(luò)攻擊,或是潛藏在工控系統(tǒng)中的木馬病毒發(fā)生作用時(shí),其后果堪比一場(chǎng)戰(zhàn)爭(zhēng)帶來的災(zāi)難。目前,我國工控領(lǐng)域的法律規(guī)范和國家安全標(biāo)準(zhǔn)相對(duì)欠缺,也沒有嚴(yán)格的市場(chǎng)準(zhǔn)入制度,國家對(duì)國產(chǎn)工控設(shè)備的產(chǎn)業(yè)支持力度還有待加強(qiáng)。這種局面必須得到徹底改觀,否則,國家安全、人民的安康都將籠罩在工控系統(tǒng)安全風(fēng)險(xiǎn)的陰霾之中。
近年來,國家非常重視工業(yè)控制系統(tǒng)信息安全問題,已經(jīng)把安全問題提升到與發(fā)展同等的高度來看待。中共中央總書記、國家主席、中央軍委主席、中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組組長習(xí)近平2014年2月27日下午主持召開中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議并發(fā)表重要講話。會(huì)議中,習(xí)總書記指出,沒有網(wǎng)絡(luò)安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化。
工業(yè)和信息化部2011年9月發(fā)布《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》([2011]451號(hào)),通知明確了工業(yè)控制系統(tǒng)信息安全管理的組織領(lǐng)導(dǎo)、技術(shù)保障、規(guī)章制度等方面的要求,并在工業(yè)控制系統(tǒng)的連接、組網(wǎng)、配置、設(shè)備選擇與升級(jí)、數(shù)據(jù)、應(yīng)急管理等六個(gè)方面提出了具體要求。
2012年6月28號(hào)國務(wù)院《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(國發(fā)[2012]23號(hào)》中明確要求:保障工業(yè)控制系統(tǒng)安全;重點(diǎn)保障對(duì)可能危及生命和公共財(cái)產(chǎn)安全的工業(yè)控制系統(tǒng)。
國家發(fā)改委從2011年開始開展工業(yè)控制系統(tǒng)信息安全專項(xiàng),涉及到面向現(xiàn)場(chǎng)設(shè)備環(huán)境的邊界安全專用網(wǎng)關(guān)產(chǎn)品、面向集散控制系統(tǒng)(DCS)的異常監(jiān)測(cè)產(chǎn)品、面向SCADA系統(tǒng)的安全采集遠(yuǎn)程終端單元(RTU)產(chǎn)品以及工業(yè)應(yīng)用軟件漏洞掃描產(chǎn)品等產(chǎn)業(yè)化項(xiàng)目。在電力電網(wǎng)、石油石化、先進(jìn)制造、軌道交通等領(lǐng)域,支持大型重點(diǎn)骨干企業(yè),按照信息安全等級(jí)保護(hù)相關(guān)要求,開展工業(yè)控制系統(tǒng)信息安全建設(shè)的試點(diǎn)示范。
目前已頒布了如下標(biāo)準(zhǔn):
GB/T 26333-2010《工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范》;
GB/T 30976.1-2014-工業(yè)控制系統(tǒng)信息安全 第1部分:評(píng)估規(guī)范;
GB/T 30976.2-2014-工業(yè)控制系統(tǒng)信息安全 第2部分:驗(yàn)收規(guī)范;
此外,《工業(yè)控制系統(tǒng)信息安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)指南(草稿)》、《工業(yè)控制系統(tǒng)信息安全等級(jí)保護(hù)基本要求(草稿)》正在編寫過程中。
《集散控制系統(tǒng)(DCS)安全防護(hù)標(biāo)準(zhǔn)》正在征求意見中。
在工控安全建設(shè)方面走在前列的電力行業(yè)早些年已經(jīng)在生產(chǎn)系統(tǒng)中建立了相關(guān)規(guī)范,如《電力二次系統(tǒng)安防護(hù)規(guī)定》(電監(jiān)會(huì)5號(hào)令)、《電力二次系統(tǒng)安全防護(hù)總體方案》(電監(jiān)會(huì)全34號(hào)文)等,發(fā)改委14號(hào)令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》。
公安部、經(jīng)信委等也在不斷對(duì)影響國計(jì)民生的公共系統(tǒng)進(jìn)行滲透檢查,發(fā)現(xiàn)了眾多問題。
2 工業(yè)控制系統(tǒng)信息安全建設(shè)思路
目前,工業(yè)控制系統(tǒng)信息安全建設(shè)思路是以風(fēng)險(xiǎn)管理為核心,通過了解自身工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn),并
通過合適的管理和技術(shù)措施對(duì)這些風(fēng)險(xiǎn)進(jìn)行控制,達(dá)到企業(yè)工控系統(tǒng)信息安全風(fēng)險(xiǎn)可控的目標(biāo)。風(fēng)險(xiǎn)管理是指如何在一個(gè)肯定有風(fēng)險(xiǎn)的環(huán)境里把風(fēng)險(xiǎn)減至最低的管理過程。風(fēng)險(xiǎn)管理包括對(duì)風(fēng)險(xiǎn)的量度、評(píng)估和應(yīng)變策略。
眾所周知,工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)和事件不可能完全避免,沒有絕對(duì)的安全。信息安全本身是高技術(shù)的對(duì)抗,有別于傳統(tǒng)安全,呈現(xiàn)擴(kuò)散速度快、難控制等特點(diǎn)。因此,管理工業(yè)控制系統(tǒng)信息安全必須以風(fēng)險(xiǎn)管理的方式,關(guān)鍵在于如何控制、化解和規(guī)避風(fēng)險(xiǎn),而不是完全消除風(fēng)險(xiǎn)。好的風(fēng)險(xiǎn)管理過程可以讓企業(yè)以最具成本效益的方式運(yùn)行,并且使已知的風(fēng)險(xiǎn)維持在可接受的水平。好的風(fēng)險(xiǎn)管理過程使組織可以用一種一致的、條理清晰的方式來組織有限的資源并確定優(yōu)先級(jí),更好地管理風(fēng)險(xiǎn),而不是將寶貴的資源用于解決所有可能的風(fēng)險(xiǎn)。
風(fēng)險(xiǎn),通俗講是指不幸事件發(fā)生的概率。影響風(fēng)險(xiǎn)的發(fā)生與兩個(gè)因素密不可分,即弱點(diǎn)和威脅。也就是說,要做到風(fēng)險(xiǎn)可控,就必須非常清楚地了解自身的弱點(diǎn)和威脅源,通過對(duì)自身弱點(diǎn)進(jìn)行加固,并有效阻止威脅源的入侵來實(shí)現(xiàn)風(fēng)險(xiǎn)可控。
2.1 工業(yè)控制系統(tǒng)面臨的主要威脅
(1)外部攻擊的發(fā)展
工業(yè)控制系統(tǒng)采用大量的IT技術(shù),互聯(lián)性逐步加強(qiáng),神秘的面紗逐步被揭開,工業(yè)控制信息安全日益進(jìn)入黑客的研究范圍,國內(nèi)外大型的信息安全交流會(huì)議已經(jīng)把工業(yè)控制信息安全作為一個(gè)重要的討論議題。隨著黑客的攻擊技術(shù)不斷進(jìn)步,攻擊的手段日趨多樣,對(duì)于他們來說,入侵到某個(gè)系統(tǒng),成功破壞其完整性是很有可能的。例如近幾年的震網(wǎng)、duqu、火焰、havex等病毒攻擊證明黑客開始對(duì)工控系統(tǒng)感興趣。
(2)內(nèi)部威脅的加劇
根據(jù)FBI和CSI對(duì)484家公司進(jìn)行的網(wǎng)絡(luò)安全專項(xiàng)調(diào)查結(jié)果顯示,超過70%的安全威脅來自公司內(nèi)部,在損失金額上,由于內(nèi)部人員泄密導(dǎo)致了6056.5萬美元的損失,是黑客造成損失的16倍,是病毒造成損失的12倍。另據(jù)中國國家信息安全測(cè)評(píng)中心調(diào)查,信息安全的現(xiàn)實(shí)威脅也主要為內(nèi)部信息泄露和內(nèi)部人員犯罪,而非病毒和外來黑客。
工業(yè)控制系統(tǒng)普遍缺乏網(wǎng)絡(luò)準(zhǔn)入和控制機(jī)制,上位機(jī)與下位機(jī)通訊缺乏身份鑒別和認(rèn)證機(jī)制,只要能夠從協(xié)議層面跟下位機(jī)建立連接,即可以對(duì)下位機(jī)進(jìn)行修改,普遍缺乏對(duì)系統(tǒng)最高權(quán)限的限制,高權(quán)限賬號(hào)往往掌握著數(shù)據(jù)庫和業(yè)務(wù)系統(tǒng)的命脈,任何一個(gè)操作都可能導(dǎo)致數(shù)據(jù)的修改和泄露。并且缺乏事后追查的有效工具,也讓責(zé)任劃分和威脅追蹤變得更加困難。
(3)應(yīng)用軟件的威脅
設(shè)備提供商提供的應(yīng)用授權(quán)版本不可能十全十美,各種各樣的后門、漏洞等問題都有可能出現(xiàn)。出于成本的考慮,工業(yè)控制系統(tǒng)的組態(tài)軟件一般與其工控系統(tǒng)是同一家公司的產(chǎn)品,在測(cè)試節(jié)點(diǎn)問題容易隱藏,且組態(tài)軟件的不成熟也會(huì)為系統(tǒng)帶來威脅。
(4)第三方維護(hù)人員的威脅
第三方維護(hù)人員的威脅。工業(yè)控制系統(tǒng)建設(shè)在發(fā)展的過程中,因?yàn)閼?zhàn)略定位和人力等諸多原因,越來越多的會(huì)將非核心業(yè)務(wù)外包給設(shè)備商。如何有效地管控設(shè)備廠商和運(yùn)維人員的操作行為,并進(jìn)行嚴(yán)格的審計(jì)是系統(tǒng)運(yùn)營面臨的一個(gè)關(guān)鍵問題。
(5)多種病毒的泛濫
病毒可通過移動(dòng)存儲(chǔ)設(shè)備、外來運(yùn)維的電腦,無線系統(tǒng)等進(jìn)入工控系統(tǒng),當(dāng)病毒侵入網(wǎng)絡(luò)后,自動(dòng)收集有用信息,如關(guān)鍵業(yè)務(wù)指令、網(wǎng)絡(luò)中傳輸?shù)拿魑目诹畹龋蚴翘綔y(cè)網(wǎng)內(nèi)計(jì)算機(jī)的漏洞,向網(wǎng)內(nèi)計(jì)算機(jī)傳播病毒。由于病毒在網(wǎng)絡(luò)中大規(guī)模的傳播與復(fù)制,極大地消耗網(wǎng)絡(luò)資源,嚴(yán)重時(shí)有可能造成網(wǎng)絡(luò)擁塞、網(wǎng)絡(luò)風(fēng)暴甚至網(wǎng)絡(luò)癱瘓,這是影響工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的主要因素之一。
2.2 工業(yè)控制系統(tǒng)自身弱點(diǎn)按管理和技術(shù)的分類
(1)信息安全管理方面脆弱性
·組織結(jié)構(gòu)人員職責(zé)不完善,缺乏專業(yè)人員。大部分行業(yè)未設(shè)置工控系統(tǒng)信息安全管理部門,未明確建設(shè)運(yùn)維相關(guān)部門的安全職責(zé)和技能要求。同時(shí)普遍缺乏信息安全人才。
·信息安全管理制度流程欠完善。現(xiàn)在大部分行業(yè)還未形成完整的政策制度保障信息安全,缺乏工業(yè)控制系統(tǒng)規(guī)劃、建設(shè)、運(yùn)維、廢止全生命周期的信息安全需求和設(shè)計(jì)管理,欠缺配套的管理體系、處理流程、人員責(zé)任等規(guī)定。
·應(yīng)急響應(yīng)機(jī)制欠健全,需進(jìn)一步提高信息安全事件的應(yīng)對(duì)能力。由于響應(yīng)機(jī)制不夠健全,缺乏應(yīng)急響應(yīng)組織和標(biāo)準(zhǔn)化的事件處理流程,發(fā)生信息安全事件后人員通常依靠經(jīng)驗(yàn)判斷安全事件發(fā)生的設(shè)備和影響范圍,逐一進(jìn)行排查,響應(yīng)能力不高。
·人員信息安全培訓(xùn)不足,技術(shù)和管理能力以及人員安全意識(shí)有待提高。大部分行業(yè)有針對(duì)工控系統(tǒng)的業(yè)務(wù)培訓(xùn),但是面向全員的信息安全意識(shí)宣傳,信息安全技術(shù)和管理培訓(xùn)均比較薄弱,需加強(qiáng)信息安全體系化宣傳和培訓(xùn)。
·尚需完善第三方人員管理體制。大部分的行業(yè)會(huì)將設(shè)備建設(shè)運(yùn)維工作外包給設(shè)備商或集成商,尤其針對(duì)國外廠商,業(yè)主不了解工控設(shè)備技術(shù)細(xì)節(jié),對(duì)于所有的運(yùn)維操作無控制、無審計(jì),留有安全隱患。
(2)信息安全技術(shù)方面脆弱性
·未進(jìn)行安全域劃分,區(qū)域間未設(shè)置訪問控制措施。隨著工控系統(tǒng)的集成度越來越高,呈現(xiàn)統(tǒng)一管理、集中監(jiān)控的趨勢(shì),系統(tǒng)的互聯(lián)程度大大提高。但是大部分行業(yè)的工控系統(tǒng)各子系統(tǒng)之間沒進(jìn)行安全分區(qū),系統(tǒng)邊界不清楚,邊界訪問控制策略缺失等。
·缺少信息安全風(fēng)險(xiǎn)監(jiān)控技術(shù),不能及時(shí)發(fā)現(xiàn)信息安全問題,出現(xiàn)問題后靠人員經(jīng)驗(yàn)排查。在工控網(wǎng)絡(luò)上普遍缺少信息安全監(jiān)控機(jī)制,不能及時(shí)了解網(wǎng)絡(luò)狀況,一旦發(fā)生問題不能及時(shí)確定問題所在,及時(shí)排查到故障點(diǎn),排查過程耗費(fèi)大量人力成本、時(shí)間成本。
·系統(tǒng)運(yùn)行后,操作站和服務(wù)器很少打補(bǔ)丁,存在系統(tǒng)漏洞,系統(tǒng)安全配置較薄弱,防病毒軟件安裝不全面。大部分行業(yè)工控系統(tǒng)投產(chǎn)后,對(duì)操作系統(tǒng)極少升級(jí),而操作系統(tǒng)會(huì)不斷曝出漏洞,導(dǎo)致操作站和服務(wù)器暴露在風(fēng)險(xiǎn)中。系統(tǒng)自身的安全策略未啟用或配置薄弱。防病毒軟件的安裝不全面,即使安裝后也不及時(shí)更新防惡意代碼軟件版本和惡意代碼庫。
·工程師站缺少身份認(rèn)證和接入控制,且權(quán)限很大。有些行業(yè)工程師站登陸過程缺少身份認(rèn)證,且工程師站對(duì)操作站、控制器等進(jìn)行組態(tài)時(shí)均缺乏身份認(rèn)證,存在任意工程師站可以對(duì)操作站、現(xiàn)場(chǎng)設(shè)備直接組態(tài)的可能性。
·存在使用移動(dòng)存儲(chǔ)介質(zhì)不規(guī)范問題,易引入病毒以及黑客攻擊程序。在工控系統(tǒng)運(yùn)維和使用過程中,存在隨意使用U盤、光盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)介質(zhì)現(xiàn)象,有可能傳染病毒、木馬等威脅生產(chǎn)系統(tǒng)。
·第三方人員運(yùn)維生產(chǎn)系統(tǒng)無審計(jì)措施。出現(xiàn)問題后無法及時(shí)準(zhǔn)確定位問題原因、影響范圍及追究責(zé)任。
·上線前未進(jìn)行信息安全測(cè)試。一些行業(yè)工控系統(tǒng)在上線前未進(jìn)行安全性測(cè)試,系統(tǒng)在上線后存在大量安全風(fēng)險(xiǎn)漏洞,安全配置薄弱,甚至有的系統(tǒng)帶毒工作。
·無線通信安全性不足。一些行業(yè)工控系統(tǒng)中大量使用無線網(wǎng)絡(luò),在帶來方便的同時(shí),隨之而來的是無線網(wǎng)絡(luò)安全方面的威脅。其中包括未授權(quán)用戶的非法接入、非法AP欺騙生產(chǎn)設(shè)備接入、數(shù)據(jù)在傳輸過程中被監(jiān)聽竊取、基于無線的入侵行為等。
通過開展工控信息安全風(fēng)險(xiǎn)評(píng)估工作,能夠詳細(xì)分析出上述威脅和弱點(diǎn)產(chǎn)生原因和安全風(fēng)險(xiǎn)防御的方法,再選擇合適的管理措施和技術(shù)措施進(jìn)行加固,從而實(shí)現(xiàn)工控信息安全風(fēng)險(xiǎn)可控。
3 工業(yè)控制系統(tǒng)信息安全解決方案
啟明星辰工業(yè)控制系統(tǒng)信息安全解決方案,以工業(yè)控制信息安全管理系統(tǒng)為核心,以旁路檢測(cè)、串聯(lián)防護(hù)、現(xiàn)場(chǎng)防護(hù)三大引擎為支撐,全面實(shí)現(xiàn)全網(wǎng)工控設(shè)備的統(tǒng)一安全監(jiān)測(cè)和防護(hù),安全風(fēng)險(xiǎn)集中分析和展現(xiàn)。輔助以貫穿工業(yè)控制系統(tǒng)需求、設(shè)計(jì)、建設(shè)、運(yùn)營、廢除全生命周期的工控安全風(fēng)險(xiǎn)評(píng)估平臺(tái),實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)的動(dòng)態(tài)管理。工控信息安全防護(hù)體系如圖1所示。
圖1 工業(yè)控制信息安全管理系統(tǒng)
啟明星辰工控信息安全解決方案主要特點(diǎn):一是縱深防御,集防護(hù)、監(jiān)測(cè)、管理于一體;二是基于全生命周期管理,即工控系統(tǒng)軟件開發(fā)全生命周期管理、攻擊過程全生命周期管理。
3.1 縱深防御,集防護(hù)、監(jiān)測(cè)、管理于一體
啟明星辰縱深防御思想,主要體現(xiàn)在保證系統(tǒng)可用性前提下,對(duì)工業(yè)控制系統(tǒng)進(jìn)行防護(hù),實(shí)現(xiàn)“垂直分層,水平分區(qū);邊界控制,內(nèi)部監(jiān)測(cè);集中展現(xiàn)”。
“垂直分層、水平分區(qū)”,即按照工業(yè)控制系統(tǒng)的層次結(jié)構(gòu),垂直方向化分為四層:現(xiàn)場(chǎng)設(shè)備層、現(xiàn)場(chǎng)控制層、監(jiān)督控制層、生產(chǎn)管理層。水平分區(qū)指各工業(yè)控制系統(tǒng)之間應(yīng)該從網(wǎng)絡(luò)上隔離開,處于不同的安全區(qū)。
“邊界控制,內(nèi)部監(jiān)測(cè)”,即對(duì)系統(tǒng)邊界,即各操作站、工業(yè)控制系統(tǒng)連接處、無線網(wǎng)絡(luò)等要進(jìn)行邊界防護(hù)和準(zhǔn)入控制等。對(duì)工業(yè)控制系統(tǒng)內(nèi)部要監(jiān)測(cè)網(wǎng)絡(luò)流量數(shù)據(jù)以發(fā)現(xiàn)入侵、業(yè)務(wù)異常、訪問關(guān)系異常和流量異常等問題。
“集中展現(xiàn)”,即對(duì)工控系統(tǒng)中可能涉及的各類設(shè)備,包括工業(yè)防火墻、防病毒系統(tǒng)、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、操作員站、工程師站、適時(shí)數(shù)據(jù)庫、歷史數(shù)據(jù)庫、PLC、路由器、交換機(jī)等,進(jìn)行統(tǒng)一采集和識(shí)別這些設(shè)備產(chǎn)生的安全事件和告警信息、日志信息等,并通過多維度可視化的界面進(jìn)行綜合展示,使監(jiān)控人員一站式的查詢檢索安全及威脅信息,了解安全態(tài)勢(shì),指導(dǎo)企業(yè)進(jìn)行工控系統(tǒng)信息安全建設(shè)。
系統(tǒng)面臨的主要安全威脅來自于黑客攻擊、惡意代碼(病毒蠕蟲)、越權(quán)訪問(非授權(quán)接入)、移動(dòng)介質(zhì)、弱口令、操作系統(tǒng)漏洞、誤操作和業(yè)務(wù)異常等,因此,其安全防護(hù)應(yīng)在以下方面予以重點(diǎn)完善和強(qiáng)化。
·入侵檢測(cè)及防御;
·惡意代碼防護(hù);
·內(nèi)部網(wǎng)絡(luò)異常行為的檢測(cè);
·邊界訪問控制和系統(tǒng)訪問控制策略;
·工業(yè)控制系統(tǒng)開發(fā)與維護(hù)的安全;
·身份認(rèn)證和行為審計(jì);
·賬號(hào)唯一性和口令安全,尤其是管理員賬號(hào)和口令的管理;
·操作站操作系統(tǒng)安全;
·移動(dòng)存儲(chǔ)介質(zhì)的標(biāo)記、權(quán)限控制和審計(jì);
·設(shè)備物理安全。
結(jié)合工業(yè)控制系統(tǒng)信息安全防護(hù)思路,將典型工業(yè)控制系統(tǒng)分為四層,即生產(chǎn)管理層、監(jiān)督控制層、現(xiàn)場(chǎng)控制層、現(xiàn)場(chǎng)設(shè)備層。每一個(gè)工業(yè)控制系統(tǒng)應(yīng)單獨(dú)劃分在一個(gè)區(qū)域里。
生產(chǎn)管理層主要是生產(chǎn)調(diào)度,詳細(xì)生產(chǎn)流程,可靠性保證和站點(diǎn)范圍內(nèi)的控制優(yōu)化相關(guān)的系統(tǒng)。
監(jiān)督控制層包括了監(jiān)督和控制實(shí)際生產(chǎn)過程的相關(guān)系統(tǒng)。包括如下設(shè)備:
·人機(jī)界面HMI,操作員站,負(fù)責(zé)組態(tài)的工程師站等;
·報(bào)警服務(wù)器及報(bào)警處理;
·監(jiān)督控制功能;
·實(shí)時(shí)數(shù)據(jù)收集與歷史數(shù)據(jù)庫,用于連接的服務(wù)器客戶機(jī)等。
現(xiàn)場(chǎng)控制層是對(duì)來自現(xiàn)場(chǎng)設(shè)備層的傳感器所采集的數(shù)據(jù)進(jìn)行操作,執(zhí)行控制算法,輸出到執(zhí)行器(如控制閥門等)執(zhí)行,該層通過現(xiàn)場(chǎng)總線或?qū)崟r(shí)網(wǎng)絡(luò)與現(xiàn)場(chǎng)設(shè)備層的傳感器和執(zhí)行器形成控制回路。該層控制功能可以是連續(xù)控制、順序控制、批量控制和離散控制等類型。設(shè)備包括但不限于如下所示:
·DCS控制器;
·可編程邏輯控制器PLC;
·遠(yuǎn)程終端單元RTU。
現(xiàn)場(chǎng)設(shè)備層對(duì)生產(chǎn)設(shè)施的現(xiàn)場(chǎng)設(shè)備進(jìn)行數(shù)據(jù)采集和輸出操作的功能,包括所有連在現(xiàn)場(chǎng)總線或?qū)崟r(shí)網(wǎng)絡(luò)的傳感器(模擬量和開關(guān)量輸入)和執(zhí)行器(模擬量和開關(guān)量輸出)。
對(duì)單一工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全域劃分如圖2所示。
圖2 單一工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全域
根據(jù)“邊界控制,內(nèi)部監(jiān)測(cè),集中展現(xiàn)”的防護(hù)思路,典型的工業(yè)控制網(wǎng)絡(luò)安全防護(hù)如圖3所示。
圖3 典型的工業(yè)控制網(wǎng)絡(luò)安全防護(hù)
通過工業(yè)控制信息安全管理系統(tǒng)對(duì)整個(gè)工業(yè)控制系統(tǒng)內(nèi)的各個(gè)子系統(tǒng)和安全設(shè)備進(jìn)行統(tǒng)一安全監(jiān)控和管理。對(duì)工業(yè)控制現(xiàn)場(chǎng)控制設(shè)備、信息安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器、操作站等進(jìn)行統(tǒng)一資產(chǎn)管理,并對(duì)各設(shè)備的信息安全監(jiān)控和報(bào)警、信息安全日志信息進(jìn)行集中管理。根據(jù)安全審計(jì)策略對(duì)各類安全信息進(jìn)行分類管理與查詢,系統(tǒng)對(duì)各類信息安全報(bào)警和日志信息進(jìn)行關(guān)聯(lián)分析,展現(xiàn)全網(wǎng)的安全風(fēng)險(xiǎn)分布和趨勢(shì)。
防護(hù)類措施如下:
(1)在區(qū)域邊界處部署工業(yè)防火墻設(shè)備,實(shí)現(xiàn)IP/端口的訪問控制、應(yīng)用層協(xié)議訪問控制、流量控制等。或者部署網(wǎng)閘設(shè)備,切斷網(wǎng)絡(luò)鏈路層鏈接,完成兩個(gè)網(wǎng)絡(luò)的數(shù)據(jù)交換。
(2)在操作站、工程師站部署操作站安全系統(tǒng)實(shí)現(xiàn)移動(dòng)存儲(chǔ)介質(zhì)使用的管理、軟件黑白名單管理、聯(lián)網(wǎng)控制、網(wǎng)絡(luò)準(zhǔn)入控制、安全配置管理等。
(3)現(xiàn)場(chǎng)運(yùn)維審計(jì)與管理系統(tǒng)是手持移動(dòng)設(shè)備,運(yùn)維人員運(yùn)維現(xiàn)場(chǎng)設(shè)備時(shí),先接入審計(jì)系統(tǒng),再連接現(xiàn)場(chǎng)設(shè)備。審計(jì)系統(tǒng)可審計(jì)運(yùn)維操作命令、運(yùn)維工具使用錄像等,亦可進(jìn)行防病毒、訪問控制等安全防護(hù)。
(4)WiFi入侵檢測(cè)與防護(hù)設(shè)備是放在基于WiFi組網(wǎng)的現(xiàn)場(chǎng)設(shè)備網(wǎng)絡(luò)中,可實(shí)現(xiàn)非法AP阻斷,非法外來設(shè)備接入生產(chǎn)網(wǎng)絡(luò),基于WiFi的入侵檢測(cè)等。
監(jiān)控檢查類措施如下:
(1)在工業(yè)以太網(wǎng)交換機(jī)上部署工控異常監(jiān)測(cè)系統(tǒng),監(jiān)測(cè)工業(yè)控制系統(tǒng)內(nèi)部入侵行為,異常操作行為,發(fā)現(xiàn)異常流量和異常訪問關(guān)系等。
(2)部署工控漏洞掃描系統(tǒng),在系統(tǒng)檢修、停機(jī)或新系統(tǒng)上線時(shí)進(jìn)行漏洞掃描,對(duì)漏洞進(jìn)行修補(bǔ)。
(3)部署安全配置基線核查系統(tǒng),在系統(tǒng)檢修、停機(jī)或新系統(tǒng)上線時(shí)進(jìn)行配置基線檢查,重點(diǎn)關(guān)注操作站、工程師站、服務(wù)器等開放的服務(wù),賬號(hào)密碼策略、協(xié)議的安全配置等問題,對(duì)風(fēng)險(xiǎn)進(jìn)行安全加固。
縱深防御的工控信息安全防護(hù)體系是建立在整體工業(yè)控制網(wǎng)絡(luò)各個(gè)關(guān)鍵環(huán)節(jié)的基礎(chǔ)之上,能夠有效發(fā)現(xiàn)、防護(hù)、監(jiān)測(cè)和審計(jì)網(wǎng)絡(luò)安全活動(dòng),對(duì)企業(yè)工控系統(tǒng)正常生產(chǎn)運(yùn)行起到了非常關(guān)鍵的作用。但是對(duì)于工控系統(tǒng)本身而言,系統(tǒng)自身存在的安全缺陷卻容易被威脅利用,從根本上解決這類問題還需要從軟件開發(fā)全生命周期管理來盡可能地實(shí)現(xiàn)軟件本身的安全性。
3.2 基于全生命周期管理
3.2.1 工業(yè)控制系統(tǒng)軟件開發(fā)全生命周期管理
工業(yè)控制系統(tǒng)開發(fā)商在需求、設(shè)計(jì)、編碼、測(cè)試、上線、運(yùn)行和持續(xù)完善的各個(gè)階段,存在的主要問題是重功能實(shí)現(xiàn),輕安全功能,這樣就造成了工業(yè)控制系統(tǒng)本身存在許多可以被威脅利用的漏洞,從而產(chǎn)生工控信息安全風(fēng)險(xiǎn)。
下面通過說明應(yīng)用程序設(shè)計(jì)風(fēng)險(xiǎn)、編碼缺陷與配置缺陷來重點(diǎn)闡述工業(yè)控制系統(tǒng)應(yīng)用程序的安全風(fēng)險(xiǎn)。
(1)工業(yè)控制系統(tǒng)應(yīng)用程序設(shè)計(jì)風(fēng)險(xiǎn)
·設(shè)計(jì)復(fù)雜,沒有達(dá)到簡(jiǎn)單性與附加安全特征間的平衡。在系統(tǒng)中通過少數(shù)的瓶頸點(diǎn)實(shí)現(xiàn)安全關(guān)鍵的操作,運(yùn)用少量的、復(fù)雜的、多功能軟件組件操作,在多個(gè)安全級(jí)別,在不需要時(shí)調(diào)用了組件的安全功能。
過多的用戶接口與輸出,沒有確保用戶接口僅包含需要的功能,設(shè)計(jì)接口沒有考慮是否會(huì)被用戶繞過。沒有集中向下寫到一個(gè)程序,沒有做程序信息流的分析。
·設(shè)計(jì)層次沒有防御概念,在系統(tǒng)中僅有很少的安全層次,當(dāng)一個(gè)層次被破壞的情況下,不能有效地阻止安全違背行為。沒有一系列的防御層,使得一個(gè)單層被滲透的情況下能夠造成整個(gè)系統(tǒng)被破壞的可能性。如表1所示,隨著防御機(jī)制的增強(qiáng),攻擊者需要偷取數(shù)據(jù)所花費(fèi)的代價(jià)也相應(yīng)加大。
·用戶與應(yīng)用數(shù)據(jù)的驗(yàn)證,沒有考察所有的潛在區(qū)域,有可能通過這些區(qū)域,不可信的信息輸入進(jìn)入應(yīng)用程序,沒有驗(yàn)證通過應(yīng)用程序的任意數(shù)值,沒有檢查接收的數(shù)值是否是允許的數(shù)據(jù)類型或格式。
·沒有限制特權(quán),允許不必要的特權(quán)給應(yīng)用和功能,可能會(huì)潛在地導(dǎo)致未授權(quán)的信息進(jìn)入敏感區(qū)域。特權(quán)沒有給予時(shí)間限制,沒有實(shí)現(xiàn)角色概念,實(shí)現(xiàn)不同的角色關(guān)聯(lián)不同的特權(quán)。
·信任開源軟件,使用前沒有進(jìn)行評(píng)估。目前由于使用開源軟件帶來的問題遠(yuǎn)遠(yuǎn)高于商業(yè)軟件,所以這也是導(dǎo)致應(yīng)用系統(tǒng)風(fēng)險(xiǎn)的重要因素之一。
·無失效保護(hù)。應(yīng)用系統(tǒng)沒有考慮失效保護(hù)問題,通常攻擊者會(huì)等待他們期待的系統(tǒng)失效類型,進(jìn)而來挖掘系統(tǒng)的脆弱性,比如說系統(tǒng)失效時(shí)是否允許訪問,是否恢復(fù)到安全狀態(tài)等。
·無敏感信息保護(hù)。對(duì)應(yīng)用系統(tǒng)來說阻止訪問敏感信息是非常重要的,以防止信息泄露。這方面的設(shè)計(jì)通常需要注意:當(dāng)敏感信息不再使用時(shí)沒有立即刪除;加密密鑰沒有存儲(chǔ)在安全區(qū)域;沒有運(yùn)用CRC或SHA算法進(jìn)行完整性保護(hù);沒有關(guān)閉調(diào)試代碼,從而導(dǎo)致應(yīng)用系統(tǒng)的關(guān)鍵信息對(duì)外部接口是開放的。
·沒有安全的保護(hù)網(wǎng)絡(luò)接口,應(yīng)用系統(tǒng)的進(jìn)出點(diǎn)沒有很好的定義、文檔化,網(wǎng)絡(luò)端口在通信完成后還處于激活狀態(tài),通信發(fā)生時(shí)沒有相應(yīng)的審計(jì)與日志。
(2)工業(yè)控制系統(tǒng)編碼缺陷
工業(yè)控制系統(tǒng)編碼缺陷包括如下幾個(gè)方面:
·未驗(yàn)證的輸入。比如緩沖區(qū)溢出、整形溢出、注入缺陷(命令、SQL、LDAP)等。
·數(shù)據(jù)保護(hù)或存儲(chǔ)失效。在安全存儲(chǔ)數(shù)據(jù)時(shí),需要考慮:需要訪問數(shù)據(jù)的權(quán)限;數(shù)據(jù)加密問題;存儲(chǔ)密鑰的威脅。
·不正確的錯(cuò)誤處理。通常包含幾個(gè)方面:不能處理一個(gè)錯(cuò)誤的條件;程序停留在一個(gè)不安全的狀態(tài);由拒絕服務(wù)導(dǎo)致應(yīng)用程序死掉。
·信息泄露。通常導(dǎo)致信息泄露的主要方式有兩種:一種是無意的,比如由于代碼或非顯而易見的通道問題導(dǎo)致有價(jià)值的信息輸出,或由于代碼中的注釋或冗長的錯(cuò)誤信息導(dǎo)致;另一種是故意的,比如沒有適當(dāng)?shù)谋Wo(hù)機(jī)密信息。防止信息泄露需要深入理解黑客通常所用的技術(shù)與方法,以及對(duì)他們有用的信息類型。
·競(jìng)爭(zhēng)條件。指的是應(yīng)用系統(tǒng)如果采用多任務(wù)的方式,需要考慮系統(tǒng)資源的管理,需要考慮不同任務(wù)的優(yōu)先級(jí),任務(wù)的調(diào)度機(jī)制,內(nèi)存的分配,避免任務(wù)間的死鎖等情況。
·惡意代碼。有意地插入代碼以破壞應(yīng)用的安全性,通常能夠隱藏在調(diào)試軟件、加載程序、時(shí)間炸彈、特洛伊木馬等程序中。
(3)工業(yè)控制系統(tǒng)配置缺陷
工業(yè)控制系統(tǒng)配置缺陷通常是由于沒有好的配置管理導(dǎo)致,沒有建立一個(gè)專門的配置管理團(tuán)隊(duì)負(fù)責(zé)不同項(xiàng)目配置管理分支的創(chuàng)建、更改、撤銷與維護(hù)。沒有設(shè)置不同的配置管理級(jí)別,以禁止對(duì)配置項(xiàng)目未授權(quán)的更改,比如說禁止測(cè)試人員在開發(fā)分支上更改代碼。另外,好的配置管理禁止開發(fā)與測(cè)試人員刪除配置項(xiàng),只允許添加,對(duì)測(cè)試文檔,測(cè)試過程中使用的任何工具都需要在配置管理中進(jìn)行維護(hù)。
工控系統(tǒng)本身的健壯性對(duì)工業(yè)生產(chǎn)起到?jīng)Q定性的作用,只有工控系統(tǒng)軟件在需求、設(shè)計(jì)、編碼、測(cè)試、上線、運(yùn)行和不斷完善的各個(gè)階段在考慮功能實(shí)現(xiàn)的同時(shí),充分考慮安全功能需求,才能加強(qiáng)工控系統(tǒng)本身的健壯性,避免漏洞被威脅利用。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)